中小企業とNASの現状
中小企業の多くが、SynologyやQNAPなどのNAS(Network Attached Storage)をファイルサーバーとして利用しています。Windowsサーバーと比較して初期コストが低く、専門知識がなくても導入できる手軽さから、従業員300名以下の企業では非常に普及率が高いストレージソリューションです。
しかし、「導入が簡単」であることは「運用が簡単」であることを意味しません。多くの中小企業では、購入時の初期設定のまま何年も運用されているケースが散見されます。管理者パスワードが「admin / admin」のまま、ファームウェアが数年間更新されていない、バックアップが取られていないといった状況は珍しくありません。
近年、NASを標的としたランサムウェア攻撃が急増しています。DeadBoltはQNAP製NASの脆弱性を悪用して数千台を暗号化し、eCh0raix(QNAPCrypt)はSynology・QNAP双方を標的にしました。これらの攻撃はインターネットに公開されたNASの管理画面や既知の脆弱性を突いて侵入し、全ファイルを暗号化して身代金を要求します。中小企業にとって、NASのセキュリティ対策はもはや「できればやる」ではなく「必ずやるべき」最優先事項です。
NASのセキュリティリスク
NASに潜むセキュリティリスクを正しく把握することが、対策の第一歩です。以下に主要なリスクを整理します。
| リスク | 概要 | 影響度 |
|---|---|---|
| ランサムウェア感染 | NAS上のファイルが暗号化され、復号のための身代金を要求される。DeadBolt、eCh0raix等がNASを直接標的にする | 高 |
| 不正アクセス | デフォルトパスワード未変更、管理画面のインターネット公開により、攻撃者が管理権限を取得する | 高 |
| ファームウェアの脆弱性 | ファームウェア更新が放置され、既知の脆弱性(CVE)が修正されないまま稼働し続ける | 中 |
| 内部不正 | 過剰なアクセス権が付与されており、退職者や派遣社員による機密情報の持ち出しが発生する | 中 |
| 物理的破損 | RAID崩壊、停電、落雷、経年劣化によるHDD故障でデータが消失する | 中 |
| バックアップ不備 | NAS自体が唯一のデータ保存先となっており、NAS障害時にデータを復旧できない | 高 |
特に危険なのは、ランサムウェア感染とバックアップ不備が同時に存在するケースです。NASが暗号化され、かつバックアップがなければ、事業継続そのものが困難になります。IPAの「情報セキュリティ10大脅威 2026」でもランサムウェアは組織向け脅威の上位に位置しており、NASは攻撃者にとって格好の標的です。
必須のセキュリティ設定
NASのセキュリティを強化するために、以下の8つの設定を必ず実施してください。Synology DSM・QNAP QTSいずれでも同等の設定が可能です。
- 管理者パスワードの変更とデフォルトアカウントの無効化:出荷時の「admin」アカウントは無効化し、推測されにくい別名の管理者アカウントを作成します。パスワードは12文字以上で英数字・記号を組み合わせてください。SynologyのDSMでは「コントロールパネル → ユーザーとグループ」から、QNAP QTSでは「コントロールパネル → ユーザー」から設定できます。
- 2要素認証(MFA)の有効化:管理者アカウントには必ずOTPアプリ(Google Authenticator、Microsoft Authenticator等)による2要素認証を設定します。パスワードが漏洩しても、MFAが有効であれば不正ログインを防止できます。Synology DSMでは「個人設定 → アカウント → 2要素認証」から有効化可能です。
- 管理画面のアクセス制限:NASの管理ポート(Synology: 5000/5001、QNAP: 8080/443等)をインターネットに公開してはいけません。管理画面へのアクセスは社内LANからのみに制限します。外部からアクセスが必要な場合は、VPN経由でのアクセスを必須とします。ルーターのポートフォワーディング設定を確認し、NASの管理ポートが外部に公開されていないことを確認してください。
- ファームウェア自動更新の有効化:ファームウェアの自動更新を有効にし、最新のセキュリティパッチが適用される状態を維持します。Synology DSMでは「コントロールパネル → 更新と復元 → DSM更新」で自動更新を設定できます。QNAP QTSでは「コントロールパネル → ファームウェア更新」から同様の設定が可能です。手動更新の場合は、少なくとも月1回はファームウェア更新の有無を確認しましょう。
- 不要なサービスの無効化:FTP、Telnet、SSH(管理目的で使用しない場合)、QuickConnect/myQNAPcloud(外部アクセスが不要な場合)を無効化します。有効なサービスが多いほど攻撃対象面(アタックサーフェス)が広がります。使わない機能は確実にオフにしてください。
- ファイアウォール設定:NAS内蔵のファイアウォール機能を有効化し、接続を許可するIPアドレスまたはサブネットを明示的に指定します。Synology DSMでは「コントロールパネル → セキュリティ → ファイアウォール」から、許可するIPアドレス範囲を設定できます。社内ネットワークのサブネット(例: 192.168.1.0/24)のみを許可し、それ以外からの接続をすべて拒否する設定を推奨します。
- SMBバージョンの制限:SMB1(Server Message Block v1)を無効化し、SMB2以上のみを許可します。SMB1はWannaCryをはじめとする多くのランサムウェアの攻撃経路として悪用された古いプロトコルです。Synology DSMでは「コントロールパネル → ファイルサービス → SMB → 詳細設定」からSMBの最低バージョンを「SMB2」に設定できます。
- スナップショットの有効化:定期的なスナップショットを設定し、ランサムウェア被害時にファイルを暗号化前の状態にロールバックできるようにします。Synology Btrfsファイルシステムでは「スナップショットレプリケーション」パッケージで、QNAPでは「ストレージ&スナップショット」からスナップショットスケジュールを設定できます。少なくとも日次でのスナップショット取得を推奨します。
アクセス権の設計
NASのアクセス権設定は、最小権限の原則に基づいて設計します。「全員にフルアクセス」は最も危険な設定です。部門やロールに応じて適切なアクセス権を割り当てましょう。
| ロール | アクセス範囲 | 権限 |
|---|---|---|
| 経営層 | 全共有フォルダ / 経営資料フォルダ | 読み取り / 読み書き |
| 部門マネージャー | 自部門フォルダ / 他部門フォルダ | 読み書き / 読み取り |
| 一般社員 | 自部門フォルダのみ | 読み書き |
| ゲスト・派遣 | 指定フォルダのみ | 読み取りのみ |
アクセス権設計で守るべき原則は以下のとおりです。
- 最小権限:業務に必要な最低限のアクセス権のみを付与する
- グループベース管理:個人単位ではなく、Active DirectoryまたはNASのユーザーグループ単位で権限を管理する
- 定期棚卸し:四半期ごとにアクセス権を見直し、退職者のアカウント削除・異動者の権限変更を実施する
- 共有リンクの制限:NASの外部共有リンク機能を使う場合は、有効期限とパスワードを必ず設定する
SynologyのDSMではActive Directory連携が可能で、既存のAD環境がある場合はADのグループポリシーとNASの共有フォルダ権限を連携させることで、一元管理が実現できます。
バックアップの3-2-1ルール
NASのデータ保護において最も重要なのが「3-2-1ルール」です。この原則に従ってバックアップを構成することで、ランサムウェア感染やハードウェア障害からデータを確実に復旧できます。
- 3:データのコピーを3つ保持:本番データ(NAS上の稼働データ)に加え、バックアップを2つ作成します。NAS上のデータだけでは、NAS障害時にすべてを失います。
- 2:2種類の異なるメディアに保存:NAS(本番)+ USB外付けHDDまたはクラウドストレージの2種類のメディアを使用します。同一メディアに保存すると、メディア固有の障害で全コピーを同時に失うリスクがあります。
- 1:1つはオフサイトに保管:バックアップの1つは、NASが設置されているオフィスとは物理的に離れた場所に保管します。火災・地震・水害などの災害対策として不可欠です。クラウドストレージへのバックアップは、オフサイト保管を自動的に満たします。
具体的な推奨構成は以下のとおりです。
- 日次:NAS → クラウドストレージへの自動同期(Synology: Hyper Backup + C2 Storage、QNAP: Hybrid Backup Sync + Azure Blob / AWS S3 / Google Cloud Storage)
- 週次:NAS → USB外付けHDDへのフルバックアップ(バックアップ完了後はUSB HDDをNASから物理的に取り外して保管)
- 月次:バックアップからのリストアテスト(バックアップが正常に復元できることを実際に検証する)
特に重要なのは、USB外付けHDDをNASに常時接続しないことです。ランサムウェアはNASに接続された外付けHDDも暗号化するため、バックアップ完了後は必ず取り外してください。
NASを残すか、クラウドに移行するか
NASのセキュリティ対策を検討する中で、「そもそもNASを使い続けるべきか」という判断も重要です。以下の基準で自社に適した方針を検討してください。
| 判断基準 | NAS継続が適するケース | クラウド移行が適するケース |
|---|---|---|
| データ容量 | TB単位の大容量データ(CAD、動画、設計図面等)を扱う | ドキュメント中心で容量が比較的小さい |
| ネットワーク環境 | インターネット接続が不安定、または帯域が限られている | 安定した高速インターネット接続がある |
| コスト構造 | 初期投資を許容でき、月額コストを抑えたい | 初期費用を抑え、月額課金で運用したい |
| 働き方 | オフィス勤務が中心 | テレワーク・ハイブリッドワーク中心 |
| 拠点数 | 単一拠点 | 複数拠点・リモート拠点あり |
| IT管理体制 | NASの管理・保守を担当できるIT担当者がいる | IT管理者が不在、またはひとり情シスで手が回らない |
| セキュリティ | 自社でファームウェア管理・脆弱性対応ができる | セキュリティパッチ管理が難しい |
多くの中小企業にとって最適な選択肢は、ハイブリッド構成です。
- NAS:大容量データ、アーカイブデータ、バックアップ用途に活用
- SharePoint / OneDrive:日常業務のドキュメント共有・共同編集に活用
クラウドストレージ(SharePoint Online、OneDrive for Business)はMicrosoft 365ライセンスに含まれており、追加コストなしで利用可能です。Microsoftが提供するセキュリティ基盤(暗号化、DLP、条件付きアクセス)を活用できるため、自社でセキュリティ管理を行うNASよりも安全性が高い場合があります。NASからSharePointへの移行については、専門のITコンサルタントに相談することを推奨します。
まとめ
NASは中小企業にとって手軽で便利なファイルサーバーですが、セキュリティ設定を怠るとランサムウェアの格好の標的になります。本記事で紹介した8つのセキュリティ設定、アクセス権の最小権限設計、3-2-1バックアップルールを実践することで、NASのセキュリティリスクを大幅に低減できます。
一方で、テレワーク対応やIT管理者不足に悩む企業は、NASからクラウドストレージへの移行やハイブリッド構成も検討すべきです。NASの運用・セキュリティ対策にお困りの場合は、まずは現状のリスクアセスメントから始めましょう。BTNコンサルティングでは、NASのセキュリティ診断からクラウド移行支援まで、中小企業のIT環境に合わせた最適なソリューションをご提案しています。